J’ai essayé deux gestionnaires de mots de passe sans mot de passe et j’ai été impressionné par l’un d’entre eux.

Les applications de gestion de mot de passe existent depuis des décennies. Ces jours-ci, il y a des dizaines de candidats légitimes au travail de gestion de vos informations en ligne, et elles commencent toutes avec la même architecture de base : vos noms d’utilisateur, mots de passe et autres secrets sont stockés dans une base de données (souvent appelée coffre-fort) protégée par un chiffrement fort. Pour déverrouiller ce coffre-fort, vous entrez un mot de passe principal. En fait, ce modèle est si répandu qu’il a inspiré les noms de certains des meilleurs produits de la catégorie. Il y a 1Password, par exemple, qui promet que vous n’aurez qu’un seul mot de passe à retenir au lieu de dizaines ou de centaines. LastPass prétend que votre mot de passe principal sera « le dernier mot de passe dont vous aurez jamais besoin ». De plus : Pourquoi vous pouvez toujours faire confiance (aux autres) aux gestionnaires de mots de passe, même après le fiasco LastPass Les meilleurs produits de la catégorie offrent des options sans mot de passe en alternative à la saisie de ce mot de passe principal pour déverrouiller votre coffre-fort de mots de passe. En général, cela signifie utiliser des biométriques (reconnaissance faciale ou identification par empreinte digitale) ou une clé matérielle sur un dispositif de confiance. Mais dans tous ces cas, le mot de passe principal est toujours disponible en tant que méthode de déchiffrement de sauvegarde. Et c’est là que certains s’inquiètent de confier tous ces secrets à un gestionnaire de mots de passe. Si quelqu’un peut voler votre mot de passe principal, il peut prendre le contrôle de votre existence en ligne. Vous pouvez rendre le travail de l’attaquant considérablement plus difficile avec une authentification à plusieurs facteurs, mais c’est toujours un point faible, du point de vue de l’architecture.